Percona Database Performance Blog
·
在使用HashiCorp的Vault时防止Percona Server for MongoDB中的加密密钥丢失
💡
原文英文,约1400词,阅读约需5分钟。
📝
内容提要
在Percona Server for MongoDB中设置数据静态加密时,可以选择存储主加密密钥的方式,包括文件、KMIP服务器和HashiCorp的Vault。使用Vault需升级到6.0.18-15、7.0.15-9或8.0.4-1版本,以防止密钥丢失,并配置max_versions和权限。新版本通过安全检查确保不会覆盖密钥,建议尽快升级以保护数据安全。
🎯
关键要点
- 在Percona Server for MongoDB中设置数据静态加密时,有三种存储主加密密钥的方式:文件、KMIP服务器和HashiCorp的Vault。
- 使用Vault需要升级到6.0.18-15、7.0.15-9或8.0.4-1版本,以防止密钥丢失,并配置max_versions和权限。
- 新版本通过安全检查确保不会覆盖密钥,建议尽快升级以保护数据安全。
- Percona Server for MongoDB支持Vault的版本化密钥值秘密引擎kv-v2,构建单个条目秘密。
- 在Vault服务器上,Percona Server for MongoDB使用{<full_secret_path>, <version>}对来定位秘密。
- Percona Server for MongoDB在初始化数据目录或进行密钥轮换时,会自动生成新的主加密密钥并将其存储在Vault服务器上。
- Vault默认保留每个秘密的十个最新版本,使用max_versions参数可以配置保留的版本数量。
- 从版本6.0.18-15、7.0.15-9和8.0.4-1开始,Percona Server for MongoDB通过security.vault.checkMaxVersions选项防止秘密覆盖。
- 可以使用命令设置特定路径的max_versions,最大值至少为24000。
- 为Percona Server for MongoDB提供适当的权限,以便读取秘密的元数据和配置。
- 建议尽快升级到新版本,以避免主加密密钥丢失导致数据无法解密。
❓
延伸问答
如何在Percona Server for MongoDB中存储主加密密钥?
可以选择存储在文件、KMIP服务器或HashiCorp的Vault中。
使用HashiCorp的Vault时,Percona Server for MongoDB需要升级到哪个版本?
需要升级到6.0.18-15、7.0.15-9或8.0.4-1版本。
如何防止在Vault中覆盖加密密钥?
通过配置security.vault.checkMaxVersions选项来防止覆盖。
在Vault中如何配置max_versions参数?
可以使用命令设置特定路径的max_versions,最大值至少为24000。
Percona Server for MongoDB如何处理密钥轮换?
在初始化数据目录或进行密钥轮换时,自动生成新的主加密密钥并存储在Vault中。
为什么建议尽快升级Percona Server for MongoDB?
为了避免主加密密钥丢失导致数据无法解密。
➡️
